En page d'accueil différents sitesRésolu/Fermé

Question

Bonjour à tous, 

mon Pc a été infecté et nettoyé hier (avec l'aide de Guillaume5188 et CCM), par contre à chaque redemarrage, ma page d'accueil change (à la base Google): Domeredi, skyline et digitword.

Pouvez vous m'aider?

Merci d'avance...!

Configuration: Windows Vista / Internet Explorer 7.0

jfkpresident · Answer

Hello,

Pourquoi ne pas poster directement sur le sujet initial avec Guillaume ?

Utilisateur anonyme · Answer

Bonjour jfkpresident 

Je prend la main ;le sujet original est résolu.

@ branjouan

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

branjouan · Answer

Voici:

http://www.cijoint.fr/cjlink.php?file=cj201101/cijBcKhhdv.txt

Utilisateur anonyme · Answer

Re

Ou es tu allé trainé?un site ;un utilitaire ou jeu?

 Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
----------------------------------------------------------------------------------------------------

[MD5.A938D6CD6694F49A6D0C10A8C9A4645D] - (.Pas de propriétaire - Pas de description.) -- C:\Users\helene\AppData\Local\odoxym.exe   [126976]    
O4 - HKCU\..\Run: [qocgrdcd] . (.Pas de propriétaire - Pas de description.) -- C:\Users\helene\AppData\Local\odoxym.exe    
O42 - Logiciel: Java SE Runtime Environment 6 Update 1 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160010}    

--------------------------------------------------------------------------------------------
Puis lance  ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe  
 « Exécuter en tant qu'administrateur »
. 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaîtrent. 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ]

> À ce moment là, il apparaîtra au début de chaque ligne une petite case vide.  Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées. 

* Enfin clique sur le bouton [ Nettoyer]. 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 


A+

Utilisateur anonyme · Answer

Poste moi ce rapport ZHPFix;merci.

Utilisateur anonyme · Answer

Re

Désinstalle cette version de ZHPDiag et télécharge la dernière  ,et poste moi un nouveau rapport;merci.

branjouan · Answer

Les sites en page d'accueil changent à chaque redemarrage, là c'est easynet..... J'ai également eu une notification: Google a détecté une modification de vos paramètres de recherche; si ça peut t'aider...

Voici le rapport:


======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 20/01/11 à 19:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 15:07:56 le 29/01/2011, Mode normal

Microsoft® Windows Vista(TM) Édition Familiale Premium  Service Pack 2 (X86) 
helene@PC-DE-HELENE (HP-Pavilion FR644AA-ABF a6636fr) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [Impossible d'obtenir la version] **

-- C:\Users\helene\AppData\Roaming\Mozilla\FireFox\Profiles\lkhu3dyp.default\Prefs.js --
browser.search.defaultenginename, iMesh Web Search
browser.search.selectedEngine, iMesh Web Search
browser.startup.homepage, hxxp://search.imesh.com/
browser.startup.homepage_override.mstone, rv:1.8.1.20
keyword.URL, hxxp://search.imesh.com/web?src=ffb&systemid=1&q=

========================================

** Internet Explorer Version [8.0.6001.18999] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 29/01/2011 (2371 Octet(s)) 

Fin à: 15:08:39, 29/01/2011 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Re

Télécharge MyHosts (jeanmimigab) sur le bureau. 
* Double-clic ou clic droit sous Vista sur l'icône de MyHosts 
* Le rapport " MyHosts.txt " s'ouvre quelques secondes après, copie/colle son contenu dans ta prochaine réponse.

Le rapport " MyHosts.txt " peut-être retrouvé à la racine du disque système (normalement C:\MyHosts.txt)


@+

Utilisateur anonyme · Answer

Re

Ok;poursuivons:

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


@+

branjouan · Answer

Voici:


ComboFix 11-01-28.03 - helene 29/01/2011  16:22:52.1.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3071.2107 [GMT 1:00]
Lancé depuis: c:\users\helene\Desktop\asdehi.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\helene\AppData\Local\odoxym.exe
c:\windows\system32\jusched.exe

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-28 au 2011-01-29  ))))))))))))))))))))))))))))))))))))
.

2011-01-29 15:27 . 2011-01-29 15:27	--------	d-----w-	c:\users\Mcx1\AppData\Local	emp
2011-01-29 15:27 . 2011-01-29 15:27	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-01-29 14:29 . 2011-01-29 14:29	--------	d-----w-	C:\MyHosts
2011-01-29 14:07 . 2011-01-29 14:07	--------	d-----w-	c:\program files\Ad-Remover
2011-01-29 13:46 . 2011-01-29 13:47	--------	d-----w-	c:\program files\ZHPDiag 2
2011-01-29 12:59 . 2011-01-29 13:39	--------	d-----w-	c:\program files\ZHPDiag
2011-01-28 22:59 . 2011-01-28 22:59	--------	d-----w-	c:\program files\CCleaner
2011-01-28 17:56 . 2011-01-28 17:56	--------	d-----w-	c:\program files\Windows Live SkyDrive
2011-01-28 17:56 . 2011-01-28 17:56	--------	d-----w-	c:\program files\Windows Live
2011-01-28 06:29 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{4C3095F2-EB81-47BD-A067-A503B5A49871}\mpengine.dll
2011-01-25 16:42 . 2011-01-25 16:42	126976	--s---r-	c:\users\helene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
qepm.exe
2011-01-12 06:54 . 2010-12-28 15:55	413696	----a-w-	c:\windows\system32\odbc32.dll
2011-01-12 06:54 . 2010-12-28 15:53	253952	----a-w-	c:\program files\Common Files\System\ado\msadox.dll
2011-01-12 06:54 . 2010-12-28 15:53	241664	----a-w-	c:\program files\Common Files\System\ado\msadomd.dll
2011-01-12 06:54 . 2010-12-28 15:53	708608	----a-w-	c:\program files\Common Files\System\ado\msado15.dll
2011-01-12 06:54 . 2010-12-28 15:53	57344	----a-w-	c:\program files\Common Files\System\msadc\msadcs.dll
2011-01-12 06:54 . 2010-12-28 15:53	180224	----a-w-	c:\program files\Common Files\System\msadc\msadco.dll
2011-01-12 06:54 . 2010-12-14 14:49	1169408	----a-w-	c:\windows\system32\sdclt.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-13 08:47 . 2009-09-15 18:30	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2009-09-15 18:30	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2009-09-15 18:30	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:37 . 2009-09-15 18:30	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2009-09-15 18:30	51280	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-01-13 08:37 . 2009-09-15 18:30	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-12-31 20:06 . 2010-06-30 05:47	38848	----a-w-	c:\windows\avastSS.scr
2010-11-12 17:53 . 2010-04-24 20:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-04 18:56 . 2010-12-15 06:49	345600	----a-w-	c:\windows\system32\wmicmiplugin.dll
2010-11-04 18:55 . 2010-12-15 06:49	352768	----a-w-	c:\windows\system32	askschd.dll
2010-11-04 18:55 . 2010-12-15 06:49	270336	----a-w-	c:\windows\system32	askcomp.dll
2010-11-04 18:55 . 2010-12-15 06:49	601600	----a-w-	c:\windows\system32\schedsvc.dll
2010-11-04 16:34 . 2010-12-15 06:49	171520	----a-w-	c:\windows\system32	askeng.exe
2010-11-02 06:01 . 2010-12-15 06:49	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-02 05:57 . 2010-12-15 06:49	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-02 05:57 . 2010-12-15 06:49	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-02 05:57 . 2010-12-15 06:49	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-11-02 05:57 . 2010-12-15 06:49	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-11-02 05:01 . 2010-12-15 06:49	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 04:26 . 2010-12-15 06:49	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-11-02 04:24 . 2010-12-15 06:49	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2009-11-22 11:51 . 2009-11-22 11:51	1925024	----a-w-	c:\program files\install_flash_player.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-03 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-11-03 182808]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-03 1848648]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-03 122880]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2009-09-09 1148200]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

c:\users\helene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
nqepm.exe [2011-1-25 126976]
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux5"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 135664]
R3 ovt530;Webcam Deluxe;c:\windows\system32\Drivers\ov530vid.sys [2005-03-15 161792]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-01-13 51280]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2011-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 07:55]

2011-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 07:55]

2011-01-29 c:\windows\Tasks\User_Feed_Synchronization-{A9D8031F-EA70-432F-99D2-0E65576474BC}.job
- c:\windows\system32\msfeedssync.exe [2010-12-15 04:25]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://domredi.com/1/
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-qocgrdcd - c:\users\helene\AppData\Local\odoxym.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-29 16:27
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2011-01-29  16:28:22
ComboFix-quarantined-files.txt  2011-01-29 15:28

Avant-CF: 256 708 157 440 octets libres
Après-CF: 256 641 261 568 octets libres

- - End Of File - - BC6DA974A9D624D717A16A65C7E904D3

Utilisateur anonyme · Answer

Re

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " parcourir ", cherche ce fichier :

c:\users\helene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
qepm.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

 Copie le lien du rapport dans ta réponse  ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant

@+

branjouan · Answer

Voici:


http://www.virustotal.com/file-scan/report.html?id=250522cac63fba15472ae820608e1569062ac9845578ae2c783af2314f206fe6-1296316033

Utilisateur anonyme · Answer

Re 

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur 
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|  
                -----------------------------------------------------------------------------------------------  

Toujours avec toutes les protections désactivées, fais ceci :  

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)  
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :  

                                       ----------------------------------------------------------  

File:: 
c:\users\helene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
qepm.exe 


                              ----------------------------------------------------------------- 

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt  
* Quitte le Bloc Notes  

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt 


@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

Utilisateur anonyme · Answer

Re 

ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur 
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|  
                -----------------------------------------------------------------------------------------------  

Toujours avec toutes les protections désactivées, fais ceci :  

* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)  
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :  

                                       ----------------------------------------------------------  

Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"qocgrdcd"=- 


Dds:: 
uStart Page = hxxp://domredi.com/1/ 

                              ----------------------------------------------------------------- 

* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt  
* Quitte le Bloc Notes  

* Fais un glisser/déposer de ce fichier CFScript sur le fichier C-Fix.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US  
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt 


@+ 
---------Contributeur Sécurité--------- 
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.

branjouan · Answer

Voici:


ComboFix 11-01-28.03 - helene 29/01/2011  17:31:13.3.4 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3071.2054 [GMT 1:00]
Lancé depuis: c:\users\helene\Desktop\asdehi.exe
Commutateurs utilisés :: c:\users\helene\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-28 au 2011-01-29  ))))))))))))))))))))))))))))))))))))
.

2011-01-29 16:36 . 2011-01-29 16:36	--------	d-----w-	c:\users\Mcx1\AppData\Local	emp
2011-01-29 16:36 . 2011-01-29 16:36	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-01-29 15:22 . 2011-01-29 15:28	--------	d-----w-	C:\asdehi
2011-01-29 14:29 . 2011-01-29 14:29	--------	d-----w-	C:\MyHosts
2011-01-29 14:07 . 2011-01-29 14:07	--------	d-----w-	c:\program files\Ad-Remover
2011-01-29 13:46 . 2011-01-29 13:47	--------	d-----w-	c:\program files\ZHPDiag 2
2011-01-29 12:59 . 2011-01-29 13:39	--------	d-----w-	c:\program files\ZHPDiag
2011-01-28 22:59 . 2011-01-28 22:59	--------	d-----w-	c:\program files\CCleaner
2011-01-28 17:56 . 2011-01-28 17:56	--------	d-----w-	c:\program files\Windows Live SkyDrive
2011-01-28 17:56 . 2011-01-28 17:56	--------	d-----w-	c:\program files\Windows Live
2011-01-28 06:29 . 2011-01-13 09:41	5890896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{4C3095F2-EB81-47BD-A067-A503B5A49871}\mpengine.dll
2011-01-12 06:54 . 2010-12-28 15:55	413696	----a-w-	c:\windows\system32\odbc32.dll
2011-01-12 06:54 . 2010-12-28 15:53	253952	----a-w-	c:\program files\Common Files\System\ado\msadox.dll
2011-01-12 06:54 . 2010-12-28 15:53	241664	----a-w-	c:\program files\Common Files\System\ado\msadomd.dll
2011-01-12 06:54 . 2010-12-28 15:53	708608	----a-w-	c:\program files\Common Files\System\ado\msado15.dll
2011-01-12 06:54 . 2010-12-28 15:53	57344	----a-w-	c:\program files\Common Files\System\msadc\msadcs.dll
2011-01-12 06:54 . 2010-12-28 15:53	180224	----a-w-	c:\program files\Common Files\System\msadc\msadco.dll
2011-01-12 06:54 . 2010-12-14 14:49	1169408	----a-w-	c:\windows\system32\sdclt.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-13 08:47 . 2009-09-15 18:30	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2009-09-15 18:30	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2009-09-15 18:30	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:37 . 2009-09-15 18:30	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2009-09-15 18:30	51280	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2011-01-13 08:37 . 2009-09-15 18:30	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-12-31 20:06 . 2010-06-30 05:47	38848	----a-w-	c:\windows\avastSS.scr
2010-11-12 17:53 . 2010-04-24 20:08	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-04 18:56 . 2010-12-15 06:49	345600	----a-w-	c:\windows\system32\wmicmiplugin.dll
2010-11-04 18:55 . 2010-12-15 06:49	352768	----a-w-	c:\windows\system32	askschd.dll
2010-11-04 18:55 . 2010-12-15 06:49	270336	----a-w-	c:\windows\system32	askcomp.dll
2010-11-04 18:55 . 2010-12-15 06:49	601600	----a-w-	c:\windows\system32\schedsvc.dll
2010-11-04 16:34 . 2010-12-15 06:49	171520	----a-w-	c:\windows\system32	askeng.exe
2010-11-02 06:01 . 2010-12-15 06:49	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-02 05:57 . 2010-12-15 06:49	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-02 05:57 . 2010-12-15 06:49	1469440	----a-w-	c:\windows\system32\inetcpl.cpl
2010-11-02 05:57 . 2010-12-15 06:49	71680	----a-w-	c:\windows\system32\iesetup.dll
2010-11-02 05:57 . 2010-12-15 06:49	109056	----a-w-	c:\windows\system32\iesysprep.dll
2010-11-02 05:01 . 2010-12-15 06:49	385024	----a-w-	c:\windows\system32\html.iec
2010-11-02 04:26 . 2010-12-15 06:49	133632	----a-w-	c:\windows\system32\ieUnatt.exe
2010-11-02 04:24 . 2010-12-15 06:49	1638912	----a-w-	c:\windows\system32\mshtml.tlb
2009-11-22 11:51 . 2009-11-22 11:51	1925024	----a-w-	c:\program files\install_flash_player.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-10-03 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2007-04-18 65536]
"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-06-02 75008]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-11-03 182808]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2008-03-10 689488]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2008-03-03 1848648]
"Google Quick Search Box"="c:\program files\Google\Quick Search Box\GoogleQuickSearchBox.exe" [2009-10-03 122880]
"DVDAgent"="c:\program files\Hewlett-Packard\Media\DVD\DVDAgent.exe" [2009-09-09 1148200]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

c:\users\helene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"HonorAutoRunSetting"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux5"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 135664]
R3 ovt530;Webcam Deluxe;c:\windows\system32\Drivers\ov530vid.sys [2005-03-15 161792]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2006-11-28 28224]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-01-13 51280]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
Contenu du dossier 'Tâches planifiées'

2011-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 07:55]

2011-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 07:55]

2011-01-29 c:\windows\Tasks\User_Feed_Synchronization-{A9D8031F-EA70-432F-99D2-0E65576474BC}.job
- c:\windows\system32\msfeedssync.exe [2010-12-15 04:25]
.
.
------- Examen supplémentaire -------
.
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
Trusted Zone: mappy.com
Trusted Zone: orange.fr
Trusted Zone: voila.frw.search.ke
Trusted Zone: weborama.fr\orange
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-29 17:36
Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'Explorer.exe'(4084)
c:\program files\OrangeHSS\Launcher\Inactivity.Dll
.
Heure de fin: 2011-01-29  17:37:16
ComboFix-quarantined-files.txt  2011-01-29 16:37
ComboFix2.txt  2011-01-29 16:13
ComboFix3.txt  2011-01-29 15:28

Avant-CF: 256 454 041 600 octets libres
Après-CF: 256 422 060 032 octets libres

- - End Of File - - 32EC5423FB393EC8B07A362EAE0B34B7

branjouan · Answer

J'ai redemarré et ma page d'accueil est revenue Google, c'est en bonne voie?

Utilisateur anonyme · Answer

Re

Passe un coup de Malwaresbytes en scan rapide ;mais après mise à jour.

Poste moi le rapport;merci.
@+

Utilisateur anonyme · Answer

Re

Tu n'as plus de problèmes?
C'est confirmé?

Mais ce n'est pas fini...
@+

Utilisateur anonyme · Answer

Re

Ok;

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)Tu disposes de Ccleaner,met le à jour;et passe le avec ces réglages:
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.


3)Purge la restauration sur Vista.
Comment faire :

https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


Tiens moi au courant ,dès que cela est fait;merci.

@+

branjouan · Answer

# DelFix v7.1 - Rapport créé le 29/01/2011 à 18:09
# Mis à jour le 16/01/11 à 15h30 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : helene - PC-DE-HELENE (Administrateur)
# Exécuté depuis : C:\Users\helene\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\61Y81W4O\DelFix[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\MyHosts
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\helene\Desktop\asdehi.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\MyHosts.txt
Supprimé : C:\ZHPExportRegistry-29-01-2011-14-31-03.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\helene\Desktop\MyHosts.exe
Supprimé : C:\Users\helene\Desktop\AD-R.lnk
Supprimé : C:\Users\helene\Desktop\ZHPDiag.txt
Supprimé : C:\Users\helene\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autre ~~~~~~


########## EOF - "C:\DelFixSuppr.txt" - [2156 octets] ##########

branjouan · Answer

C'est fait Guillaume5188!

En page d'accueil différents sites

21 réponses

Discussions similaires

Newsletters